คิดว่า: Firewall มีเอาไว้ป้องกันไวรัสเข้าระบบ
ความจริง : มันก็มีส่วนจริง แต่ภาพมันเล็กมากครับ เหมือนซื้อที่ล็อคเกียร์เพื่อเอามาล็อคเกียร์ ก็เพ่งกันเข้าไปตรงกระปุกเกียร์ จอดรถทิ้งไว้หน้าบ้าน โจรยังไม่มา ไฟแนนซ์มาก่อน ยกล้อหน้าแล้วลากรถไปทั้งคันซะงั้น
เวลาเราพูดถึง Cybersecurity เราพูดถึงโจรกับการป้องกันทรัพย์สินของเรา อย่าง Ransomware นั่นไม่ใช่แค่ไวรัส มันคือเครื่องมือของโจร ส่งมาเอาทรัพย์สินของเรา โจรทำการบ้านมาเยอะ มาก และใช้หลายวิธีที่จะเอาทรัพย์สินของเรา เปลี่ยนนิยามของ Firewall ซะใหม่นะครับ Firewall คือวิธีหนึ่งในการรับมือกับโจร
• อยากให้เข้าใจในภาพกว้างนะครับ Firewall มีไว้กันไวรัสก็ได้ แต่งานหลักของมันคือเอาไว้ป้องกันโจรครับ
คิดว่า: เราต้องป้องกันไม่ให้โจรเข้าระบบ เราต้องหา Firewall ยี่ห้อสุดยอดที่สุดในตลาดมาใช้
ความจริง : ค้นรูปจาก Google ด้วยคำว่า Cyber kill chain นะครับ นั่นคือวิธีคิดและวิธีปฏิบัติของโจรเวลาจะบุกรุกระบบ ซึ่งไม่แตกต่างจากโจรงัดบ้าน ก็คือต้องมีการ Recon (Reconnaissance) คือ สำรวจดูลาดเลาก่อน โจรจะหาจุดอ่อนของระบบให้เจอและเข้าทางนั้น ดังนั้น การป้องกันที่เราจะทำกับระบบ ต้องไปเป็นแผงในหลาย ๆ จุด
แนวคิดเดียวกันคือ เราหาระบบกันขโมยจัดหนักติดตั้งหน้าบ้าน แต่หลังบ้านไม่มีอะไรเลย โจรมา Recon ดูแล้ว โจรเลือกเข้าทางหลังบ้านแน่นอนครับ
ติดระบบที่หน้าบ้าน และหลังบ้าน โจรก็เข้าทางหน้าต่างได้นะครับ
ผมเคยเห็นโจรแกะกระเบื้องหลังคา ปีนเข้าบ้าน ยังมีเลย เสียแรงน้อยกว่าตัดเหล็กดัดซะอีก
การทำ Security ให้กับระบบ จึงเน้นที่การสำรวจหาจุดอ่อนและปิดให้หมด มากกว่าการเสาะหาการป้องกันที่ล้ำเลิศในจุดใดจุดหนึ่งครับ Firewall เป็นเพียงจุดเล็ก ๆ ของ Security framework เท่านั้น ยังมี Antivirus บน Client มี Group policy หรือ User right assignment ที่เหมาะสม มีเรื่อง Resource access ที่องค์กรน่าจะหยิบมาพิจารณาและวาง Security framework ที่หนาแน่น
Security framework คือ Integration ของผลิตภัณฑ์ที่หลากหลาย, เครื่องมือป้องกันที่หลากหลาย, ผู้ใช้, นโยบายขององค์กร, มาตรการและระเบียบปฏิบัติ, ผู้เชี่ยวชาญ มาทำงานร่วมกัน มากหรือน้อยก็แล้วแต่ แต่ความปลอดภัย ไม่ใช่ Firewall แค่ตัวเดียวแน่ ๆ ครับ เหมือนกับเราจะทำอาหารให้อร่อย มันไม่ใช่เพราะซีอิ๊วขวดเดียว ถูกมั้ยครับ ทุกอย่างมันต้องครบ มันถึงจะอร่อย
จุดสำคัญของ Security framework ซึ่งเป็นช่องทางที่โจรชอบใช้ที่สุด คือ ผ่านทาง User ครับ กรณี Security breach ใหญ่ ๆ เกิดมาจากความไม่ระแวงและไม่ตื่นตัวของคนทั้งนั้นเลย บางองค์กรไปเล่นใหญ่กับ Firewall แต่ไม่เคยอบรมพนักงานให้ตื่นตัว ก็รั่วกันเยอะแยะนะครับ
• นึกภาพเอาไว้ว่า บ้านที่ติดกันขโมยยี่ห้อแพงระดับแนวหน้า น่ากลัวน้อยกว่าบ้านที่เจ้าของบ้าน อยู่บ้าน ใส่ชุดยูโด และพกปืนพร้อมสู้ตลอดเวลา…เนอะ
คิดว่า: Firewall ที่เราซื้อนี่มันที่สุดของตลาดแล้ว ระบบของเราปลอดภัยแน่นอนแล้ว
ความจริง : ทุกผลิตภัณฑ์ ก็มีรูรั่วของตัวเองครับ ทำความรู้จักกับ CVE นะครับ (Common Vulnerabilities and Exposures) เขาเก็บรวบรวมและทำฐานข้อมูลของรูรั่วของผลิตภัณฑ์ เพื่อเป็นประโยชน์ต่อทุก ๆ คนนะครับ
อยากรู้ว่า Firewall ที่คุณใช้อยู่ OS หรือเฟิร์มแวร์ของ Firewall มันมีรูรั่วมากแค่ไหน อ้างอิงจากที่นี่ครับ ลองป้อนชื่อของ Vendor ที่เรารู้จักเข้าไปในช่อง Vendor search
อ่าว…เฮ้ย Firewall ที่เราใช้ มัยมันมีรูรั่วเยอะแยะอย่างนี้วะ
ประเด็นไม่ได้อยู่ที่ว่า ยี่ห้อไหนหรือรุ่นไหน ใครมีรูรั่วมากน้อยกว่ากัน แต่เราจำเป็นจะต้องอ่านเจาะเข้าไปที่ CVE แต่ละฉบับเพื่อดูว่า รูรั่วนั้น ทาง Vendor เขามี Patch แล้วหรือยัง และผลิตภัณฑ์ที่เราใช้อยู่นั้น เรารู้หรือเปล่าว่า การที่เราไม่ได้ใช้เฟิร์มแวร์ล่าสุด เรามีความเสี่ยงอะไร
คำว่า “สุดยอด” ไม่ได้มาจากรุ่นและยี่ห้อครับ มันอยู่ที่เฟิร์มแวร์ มันอยู่ที่ Config มันอยู่ที่ Integration ขาดอะไรไปอย่างหนึ่ง มันก็เป็นไปอย่างที่ฝรั่งเขาใช้คำว่า “Lost integrity” นะครับ
• ยังมีอีกครับ เรื่องความเข้าใจของ Firewall ที่ผมเคยได้ยินมา สัปดาห์นี้เอาเท่านี้ก่อน
สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา
02-2479898 ต่อ 87
OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด